PRAVILNIK
o varstvu osebnih podatkov

Na podlagi veljavnih predpisov KOKO kozmetika, Nina Berginc s.p., Vrunčeva ulica 1, 3000 Celje, matična številka: 8157049000, ident. št. za DDV in davčna številka: SI 70073392


SPLOŠNE DOLOČBE

1. člen

S tem pravilnikom se določa namen obdelave osebnih podatkov, vrste osebnih podatkov, ki naj bi se obdelovale ter rok hrambe, arhiviranja ali izbrisa osebnih podatkov, s katerimi upravlja podjetje KOKO kozmetika, Nina Berginc s.p., Vrunčeva ulica 1, 3000 Celje, (v nadaljevanju: upravljavec).

V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe veljavnih predpisov.

2. člen

Izrazi, ki so uporabljeni v tem pravilniku, imajo v skladu z veljavnimi predpisi naslednji pomen:
1. »osebni podatki« pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
2. »obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
3. »omejitev obdelave« pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;
5. »psevdonimizacija« pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;
6. »zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
7. »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
8. »obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
9. »uporabnik« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;
10. »tretja oseba« pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
11. »privolitev posameznika, na katerega se nanašajo osebni podatki« pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
12. »kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
13. »biometrični podatki« pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;
14. »podjetje« pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;
15. »nadzorni organ« pomeni Informacijskega pooblaščenca, določenega s tem zakonom ter zakonom, ki ureja informacijskega pooblaščenca;
16. »čezmejna obdelava osebnih podatkov« pomeni bodisi: a) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi b) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;
17. »povezovanje zbirk« pomeni povezavo vsaj dveh zbirk, tako, da se omogoči, da se vsebina osebnih podatkov v različnih zbirkah samodejno posodablja na način, da so osebni podatki v zbirki osebnih podatkov posodobljeni ali da je avtomatično navedena oznaka, da je osebni podatek spremenjen.

NAMEN OBDELAVE OSEBNIH PODATKOV IN ZBIRKE

3. člen

Upravljalec sam ali po pooblaščenem obdelovalcu obdeluje osebne podatke zaposlenih in kupcev za potrebe opravljanja storitev trženja kozmetičnih izdelkov.

Upravljavec za vsak strukturiran niz osebnih podatkov, ki je centraliziran, vzpostavi zbirko.

Upravljavec mora skrbeti za točnost in ažurnost vsebine zbirke.

Upravljalec vodi evidenco dejavnosti obdelovalcev osebnih podatkov.

4. člen

Upravljalec v podjetju vodi naslednje zbirke:
• evidence, ki so vezane na zaposlene v družbi oziroma na delovno razmerje,
• evidenco strank.

Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi.

V smislu prvega odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:
• identifikacijski podatki o posamezniku,
• podatki, ki se nanašajo na družinska razmerja,
• podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,
• podatki o zaposlitvi,
• podatki o socialnem in ekonomskem stanju posameznika,
• podatki o izobrazbi in pridobljenih znanjih,
• podatki o uporabi komunikacijskih sredstev,
• podatki o aktivnostih v prostem času,
• podatki o navadah posameznika.

Upravljalec lahko osebne podatke zbira ali obdeluje za drug namen kot je prvotni namen njihovega zbiranja ali obdelave določen v prvem odstavku 4. člena tega pravilnika in sicer pod pogojem pisne presoje o združljivosti novega namena obdelave, ki vključuje naslednja merila:

a) ali so izpolnjene zahteve glede zakonitosti, poštenosti in sorazmernosti prvotne obdelave;
b) oceno združljivosti načrtovanega namena s prvotnim namenom obdelave ali zbiranja;
c) oceno poštenosti in sorazmernosti načrtovane nadaljnje obdelave;
č) okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;
e) razumna pričakovanja posameznikov, na katere se nanašajo zadevni osebni podatki, še zlasti pa morebitne posledice načrtovane nadaljnje obdelave na njihove pravice in obveznosti, položaje ali osebna stanja,
f) obstoj ustreznih ukrepov varnosti glede obdelave osebnih podatkov (v nadaljnjem besedilu: zavarovanje osebnih podatkov), ki lahko vključujejo tudi psevdonimizacijo, anonimizacijo ali kriptiranje.

Obdelava za drug namen od prvotnega se lahko brez zagotovitve posebne pravne podlage izvede le, če pisna presoja po prejšnjih odstavkih jasno pokaže, da je razširitev obdelave osebnih podatkov potrebna zaradi uresničevanja zakonitih interesov upravljavca in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki. Pisna presoja po tem odstavku je del dokumentacije, s katero upravljavec izkazuje skladnost njegove obdelave s pravili iz določb veljavnih predpisov.

Ob upoštevanju četrtega in petega odstavka 4. člena pravilnika, je obdelava osebnih podatkov za drug namen dovoljena le, če:
a) je podana privolitev posameznika, na katerega se nanašajo osebni podatki,
b) obdelavo za drug namen določa zakon ali pravni akt ali odločitev Evropske unije, ki je enakovreden zakonu in se v Republiki Sloveniji uporablja neposredno,
c) je to potrebno za namene preprečevanja, preiskovanja, odkrivanja, pregona kaznivih dejanj ali prekrškov, izvrševanje kazenskih sankcij, varovanje pred grožnjami javni varnosti in njihovim preprečevanjem, varnosti države ali obrambe, ali
č) je to potrebno za uveljavljanje, izvajanje ali obrambo civilnopravnih zahtevkov, če ne prevladujejo interesi posameznika, na katerega se nanašajo osebni podatki, zlasti zaupnost pravnega razmerja, iz katerega izvira obdelava osebnih podatkov.

5. člen

Posamezna zbirka je lahko sestavljena iz ene ali več fizičnih zbirk.

6. člen

Fizična zbirka lahko obstaja v:
 papirni obliki (knjiga, registrator, datotečna omara, ipd.);
 elektronski obliki (magnetni diski, tračne enote, CD-ROMi in drugi nosilci elektronskih zapisov).

7. člen

Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako da se:

• varujejo prostori, aparaturna in sistemska programska oprema, vključno z vhodnimi in izhodnimi enotami;
• varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
• preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
• zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
• onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk;
• omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, za katero se posamezni podatki shranjujejo.

VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

8. člen

Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec podatka – in strojna ter programska oprema (v nadaljevanju besedila: varovani prostori) morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop v prostore iz 1. odstavka tega člena je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja vodje (direktorja).

Ključi varovanih prostorov se uporabljajo in hranijo pri direktorju, in se uporabljajo v skladu z navodilom o varovanju in uničevanju ključev, ki ga izda direktor.

Nosilci osebnih podatkov, hranjeni izven aktivnih delovnih prostorov oziroma izven varovanih prostorov (hodniki, skupni prostori, aktivni arhivi ipd.), morajo biti stalno shranjeni v zaklenjenem prostoru podjetja.

9. člen

Izven delovnega časa morajo biti nosilci osebnih podatkov shranjeni v zaklenjenih omarah v delovnih prostorih.

Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki, mora biti izven delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika pa kodiran.

10. člen

V varovane prostore osebe, ki ne delajo v prostorih in ki niso zaposlene v podjetju, ne smejo vstopati brez predhodne najave. Delavci, ki delajo v varovanih prostorih, morajo vestno in skrbno nadzorovati prostor in ob zapustitvi prostora zakleniti prostor.

Delavec, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam oziroma delavcem.

V prostorih, kjer imajo vstop stranke oziroma osebe, ki niso zaposlene v podjetju, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali delna na njih tako, da strankam ni omogočen vpogled vanje.

11. člen

Nosilcev osebnih podatkov delavci podjetja ne smejo odnašati izven podjetja brez izrecnega dovoljenja direktorja.

Obdelovanje osebnih podatkov iz zbirk je dovoljeno le v prostorih podjetja.

Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko ali pogodbeno podlago za pridobitev osebnih podatkov, dovoli direktor.

Delavec, ki s soglasjem direktorja posreduje osebne podatke eksternim institucijam in drugim, ki izkažejo zakonsko ali pogodbeno podlago za pridobitev osebnih podatkov, mora dejstva o posredovanju osebnih podatkov vpisati v evidenco dejavnosti obdelave.

12. člen

Vzdrževanje in popravilo strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščene osebe (ali direktorja), izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo s podjetjem sklenjeno pogodbo o servisiranju računalniške oziroma strojne opreme.

13. člen

Vzdrževalci prostorov in druge opreme v varovanih prostorih, poslovni partnerji in drugi obiskovalci, se smejo gibati v varovanih prostorih le ob prisotnosti delavca podjetja.

ZAVAROVANJE SISTEMSKE IN APLIKATIVNE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

14. člen

Dostop do računalniške programske opreme mora biti varovan, na način, ki omogoča dostop samo določenim pooblaščenim delavcem in delavcem, ki za podjetje po pogodbi opravljajo servisiranje računalniške in programske opreme.

15. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve direktorja, izvajajo pa ga lahko samo pooblaščeni servis in podjetja oziroma njihovi delavci, ki imajo s podjetjem sklenjeno ustrezno pogodbo.

16. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.

Delavec, pooblaščen za obdelavo in ravnanje z osebnimi podatki in računalniku, mora skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija uniči.

Delavec, pooblaščen za obdelavo in ravnanje z osebnimi podatki in računalniku, mora biti v času servisiranja računalnika in programske opreme vse čas prisoten in mora nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.

17. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se dnevno preverja glede na prisotnost računalniških virusov.

Ob pojavi računalniškega virusa je potrebno storiti vse, da se s pomočjo strokovnjakov virus odpravi in da se ugotovi vzrok pojava virusa.

18. člen

Zaposleni delavci ne smejo brez izrecnega dovoljenja direktorja inštalirati programske opreme in odnašati programske opreme iz prostora podjetja.

DOSTOPNOST

19. člen

Upravljavec mora zagotoviti dostopnost obdelovanih podatkov.

Pristop do podatkov prek aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.

Direktor določi režim dodeljevanja, hranjenja in spreminjanja gesel.

20. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in za administriranje v mreži osebnih računalnikov, administriranje z elektronsko pošto in administriranje prek aplikativnih programov, se hranijo v zaprtih ovojnicah na upravi podjetja.

Varovana gesla, hranjena v zaprtih ovojnicah, se smejo uporabiti v izjemnih in nujnih primerih. Vsaka uporaba vsebine zaprtih ovojnic se dokumentira.

Po uporabi zaprtih gesel iz ovojnic direktor določi nova gesla.

21. člen

Za potrebe restavriranja osebnih podatkov oziroma računalniškega sistema po okvarah ali izgubi podatkov iz drugih razlog, mora podjetje redno izdelovati kopije vsebine osebnih podatkov, ki jih vodi.

Vse izdelane kopije vsebin zbirk osebnih podatkov se morajo vpisati v knjigo evidenc dejavnosti obdelave.

Računalniške kopije vsebin zbirk osebnih podatkov na disketah ali drugih medijih se hranijo v zavarovanih zaklenjenih omarah.

RAVNANJE Z OSEBNIMI PODATKI IN ZBIRKAMI

22. člen

Pisemske pošiljke, ki vsebujejo osebne podatke, se pošiljajo naslovniku priporočeno s povratnico.

Prenašanje osebnih podatkov prek telekomunikacijskih sredstev, elektronske pošte ali drugih računalniških medijev izven prostorov podjetja mora biti zavarovano s postopki in ukrepi na način, ki nepooblaščenim preprečuje prilaščanje, uničevanje ali nedovoljeno seznanjanje z njihovo vsebino.

Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za identifikacijo.

ZAUPNOST PODATKOV

23. člen

Upravljavec mora zagotoviti zaupnost obdelovanih podatkov.

Organizacijsko, se zaupnost podatkov lahko zagotavlja v aktu o sistematizaciji delovnih mest, kjer se za vsako delovno mesto opredelijo pravice in pooblastila na posamezni zbirki. Če to v sistemizaciji delovni mest ni podrobneje opredeljeno, omenjene pravice in pooblastila izhajajo iz operacijskega predpisa, ki je sprejet na podlagi tega pravilnika. Za vsako delovno mesto se v notranjih aktih upravljalca lahko opredeli tudi dolžnost varovanja zaupnosti osebnih podatkov.

Zaupnost podatkov se zagotavlja tudi s fizičnim varovanjem prostorov, sistemske in aplikativne programske opreme ter podatkovnih nosilcev.

POSREDOVANJE

24. člen

Upravljavec osebnih podatkov mora proti plačilu stroškov posredovanja, če zakon ne določa drugače, posredovati osebne podatke uporabnikom osebnih podatkov.

25. člen

Upravljavec mora za vsak prenos osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in po kateri pravni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravic posameznika, na katerega se nanašajo osebni podatki, zaradi nedopustnega posredovanja osebnih podatkov.

Osebni podatki naročnikov se zbirajo v ustrezni programski opremi, ki je zaščitena z vstopnimi kodami. Namen zbiranja in obdelave podatkov je vzdrževanje aktivne evidence naročnikov storitev.

ROK HRAMBE OSEBNIH PODATKOV

26. člen

Upravljalec v skladu z načelom sorazmernosti in namenom obdelave osebne podatke iz 4. člena pravilnika, hrani najkrajše mogoče obdobje.

27. člen

Po prenehanju potrebe po vodenju osebnih podatkov, ki je zapisana na posebnih izjavi, ki jo stranka ali zaposleni podpišejo, se podatki zbrišejo oziroma uničijo nosilci podatkov, če to ni v nasprotju z veljavnimi splošnimi pravili, aktualnim pogodbenim razmerjem ali naravo delovnega razmerja.

28. člen

Brisanje osebnih podatkov na računalniških medijih se opravi na način, ki onemogoča restavriranje brisanih podatkov.

Osebni podatki, vsebovani na klasičnih nosilcih (listine, kartoteke, register, seznam) se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo (zažgejo, razrežejo) v prostorih upravljalca, pod nadzorom pooblaščenega delavca upravljalca pa lahko tudi pri drugi organizaciji, ki se ukvarja z uničevanjem zaupne dokumentacije.

29. člen

Z vestnostjo in skrbnostjo določeno s tem pravilnikom za uničevanje osebnih podatkov, vodenih v zbirkah oziroma na posameznih nosilcih podatkov, se mora brisati in uničevati tudi pomožna dokumentacija ali računalniški produkti oziroma predloge, ki vsebujejo posamezne osebne podatke.

Uničevanje osebnih podatkov na nosilcih iz predhodnega odstavka se mora izvajati tekoče in ažurno.

UKREPANJE OB UGOTOVITVI O ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV

30. člen

Zaposleni v podjetju so dolžni izvajati ukrepe za preprečevanje zlorab osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.

Delavec, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničevanje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko, mora takoj o tem obvestiti direktorja in pooblaščenega delavca, ki vodi in ureja zbirko, ki je bila zlorabljena ali v katero se je vdrlo.

31. člen

Upravljalec mora o kršitvah varstva osebnih podatkov v 72 urah od seznanitve s kršitvijo, poslati uradno obvestilo informacijskemu pooblaščencu, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov.

Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljalca.

Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljalec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

Direktor mora zoper tistega, ki je zlorabil osebne podatke ali nepooblaščeno vdrl v zbirko, ustrezno ukrepati.

Če obstaja sum pri vdoru v zbirko, da je ta storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so zbrani ali če je do zlorabe osebnih podatkov že prišlo, mora direktor poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je ta delavec podjetja, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v veljavnih predpisih, na podlagi katerih se zbirajo ali nameni, določenimi v zbirkah. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

32. člen

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
(a) namene obdelave;
(b) vrste zadevnih osebnih podatkov;
(c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
(d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
(e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
(f) pravico do vložitve pritožbe pri nadzornem organu;
(g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom.

Posameznik pred predajo osebnih podatkov podpiše posebno izjavo, na kateri označi osebne podatke, ki jih želi predati, ter določi namen, za katerega dovoljuje uporabo osebnih podatkov (izjava stranke PRILOGA 1).

Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:
(a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 4 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

33. člen

Pred nastopom dela delavca na delovnem mestu (seznam pooblaščenih oseb PRILOGA 3), kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, mora delavec podpisati izjavo (izjava delavca PRILOGA 2), ki ga zavezuje k varovanje osebnih podatkov kot poklicne skrivnosti in ki ga opozarja na posledice kršitve zaveze.

Obveza varovanja osebnih podatkov, s katerimi se delavec seznani pri svojem delu v podjetju traja tudi po prenehanju delovnega razmerja v podjetju.

34. člen

Delavec stori lažjo kršitev delovne dolžnosti:

 če opusti vestno in skrbno nadzorovanje varovanih prostorov (prva točka 7. člena tega pravilnika);
 če opusti ravnanja za preprečitev vpogleda v ali na nosilce osebnih podatkov (5. točka prvega odstavka 7. člena tega pravilnika);
 če ne uniči kopije osebnih podatkov v primerih iz 2. odstavka 25. člena tega pravilnika;
 če ni ves čas servisiranja računalnika in programske opreme prisoten (3. odstavek 20. tega pravilnika);
 če ne izvaja preventive v zvezi z računalniškimi virusi (21. člen tega pravilnika);
 če ne vodi evidence kopij vsebin zbirk osebnih podatkov v knjigi evidenc o ravnanju z osebnimi podatki (1. odstavek 25. člena tega pravilnika) in
 če ne obvesti direktorja ali pooblaščenega delavca v primeru zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov (2. odstavek 34. člena tega pravilnika).

35. člen

35. člen

Delavec stori hujšo kršitev delovne dolžnosti:

 če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, sodelavcem ali drugim osebam;
 če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam (2. odstavek 14. člena tega pravilnika);
 če brez izrecnega dovoljenja odnaša iz prostorov podjetja nosilce osebnih podatkov (15. člen tega pravilnika);
 če posreduje osebne podatke pooblaščenim eksternim institucijam brez dovoljenja direktorja (3. odstavek 15. člena tega pravilnika);
 če ne vpiše v evidenco dejavnosti obdelave dejstva o posredovanju osebnih podatkov eksternim institucijam (4. odstavek 15. člena tega pravilnika);
 če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo (19. člen tega pravilnika);
 če inštalira ali odnese programsko opremo iz prostorov podjetja brez izrecnega dovoljenja direktorja (22. člen tega pravilnika);
 če ne hrani računalniških kopij vsebin zbirk osebnih podatkov v zaklenjenih omarah (3. odstavek 25. člena tega pravilnika).

POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV VODENIH V PODJETJU

1. Odgovorni delavci

36. člen

Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in osebnimi podatki vodenimi v podjetju so odgovorne osebe iz PRILOGE 2.

37. člen

Zbirke osebnih podatkov delavcev se vzpostavijo ob sklenitvi delovnega razmerja z delavcem oziroma ažurirajo ob vsaki spremembi, ki jo javi delavec. Osebne podatke v zbirki osebnih podatkov delavcev vzpostavi oziroma ažurira kadrovski delavec oziroma vodja računovodstva podjetja.

Zbirke osebnih podatkov kupcev se vzpostavijo ob povpraševanju in nakupu in se ažurirajo ob vsaki spremembi, ki jo javi kupec.

38. člen

Za hrambo zbirk osebnih podatkov so odgovorni delavci, ki so pooblaščeni za obdelovanje zbirk osebnih podatkov.

39. člen

Zbirke osebnih podatkov delavcev podjetja (kadrovske evidence) in druge zbirke osebnih podatkov vodenih v podjetju se hranijo v zaklenjeni omari.

40. člen

Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov posebej.

PREHODNE IN KONČNE DOLOČBE

41. člen

Zbirke, organizacija zavarovanja osebnih podatkov in ureditev drugih zadev določenih s tem pravilnikom se mora uskladiti z veljavnimi predpisi in določbami tega pravilnika v roku 60 dni od dneva sprejema tega pravilnika.

Spremembe in dopolnitve tega pravilnika se sprejmejo po postopku in na način kot velja za sprejem pravilnika.

Z določbami tega pravilnika morajo biti seznanjeni vsi delavci podjetja.

Ta pravilnik prejmejo službe oziroma delavci, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, morajo podpisati izjavo iz Priloge 1 tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.

Ta pravilnik začne veljati z dnem 25.5.2018.


Datum sprejema:_______


Na podlagi veljavnih predpisov KOKO kozmetika, Nina Berginc s.p., Vrunčeva ulica 1, 3000 Celje, matična številka: 8157049000, ident. št. za DDV in davčna številka: SI 70073392